Jak napisać politykę prywatności w sklepie internetowym?

Coraz więcej osób decyduje się na sprzedaż przez Internet. Strona internetowa sprzedawcy musi mieć jednak kilka elementów, które dostosują jego działalność do przepisów prawa. Jednym z nich jest dokument polityki prywatności – artykuł ten pomoże więc odpowiedzieć na najważniejsze pytania w tej kwestii.

Dowiedz się, jakie są Twoje obowiązki jako właściciela strony i skąd wziąć taki plik. 

Co to jest polityka prywatności na stronie internetowej?

Polityka prywatności to dokument opisujący zbieranie oraz przetwarzanie danych osobowych drogą elektroniczną przez sprzedawcę na jego stronie internetowej. Umożliwia ona spełnienie wobec użytkowników obowiązku informacyjnego, zgodnie z którym administrator danych osobowych powinien przedstawić osobom, których dane dotyczą, szereg informacji dotyczących przetwarzania ich danych.

Z jakimi przepisami jest związany dokument polityki prywatności?

Dokument, jakim jest polityka prywatności, jest związany przede wszystkim z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), powszechnie znanym jako „RODO”.

Osoba prowadząca sklep internetowy, niezależnie od formy swojej działalności, nie znajduje się w gronie podmiotów wyłączonych z obowiązku stosowania się do rozporządzenia RODO i występuje w charakterze administratora danych osobowych.

Warto wspomnieć, że gromadzenie i przetwarzanie danych osobowych przez podmiot prowadzący sklep nie odbywa się tylko przy zawarciu umowy sprzedaży. Zachodzi ono również przy takich sytuacjach, jak np. skorzystanie z dostępnego na stronie formularza kontaktowego czy zapisu na newsletter.

Czy sklep internetowy musi posiadać politykę prywatności?

Zasadniczo, przepisy nie przewidują wprost konieczności udostępniania przez administratora danych osobowych dokumentu polityki prywatności. RODO wymaga jednak spełnienia przez sprzedawcę będącego administratorem danych osobowych pewnych obowiązków informacyjnych, które najczęściej przedstawiane są właśnie za pomocą polityki prywatności sklepu internetowego. 

Podsumowując więc, sporządzenie i umieszczenie dokumentu polityki prywatności na stronie sklepu internetowego nie jest obowiązkowe, ale jest najpopularniejszym sposobem spełnienia obowiązków prawnych nałożonych na sprzedawcę.

Co powinna zawierać polityka prywatności w sklepie internetowym?

Jak już wcześniej wspominaliśmy, polityka prywatności jest dokumentem umożliwiającym spełnienie obowiązków informacyjnych wymaganych przez przepisy RODO. 

Pewne utrudnienie stanowi fakt, iż różne działania na stronach internetowych powodują odmienne obowiązki informacyjne – np. inny będzie cel przetwarzania w przypadku sprzedaży, inny w przypadku zapisu na newsletter, a jeszcze inny w przypadku założenia konta w sklepie. Treść polityki prywatności nie jest więc uniwersalna. Niektóre informacje są jednak wspólne dla każdego rodzaju przetwarzania danych na stronie.

Dokument polityki prywatności w każdym przypadku będzie zawierał następujące dane:

1. Tożsamość administratora i dane kontaktowe oraz, gdy ma to zastosowanie, tożsamość i dane kontaktowe jego przedstawiciela;
2. Dane kontaktowe inspektora ochrony danych – o ile taki został powołany;
3. Informacja o prawach przysługujących osobom, których dane dotyczą.

Kolejne punkty w polityce prywatności będą dostosowane do konkretnego celu przetwarzania danych osobowych i mogą się różnić w zależności od sposobów przetwarzania danych przez administratora.

1. Cele przetwarzania danych osobowych – odpowiednio dla każdego rodzaju przetwarzania: przykładowo, przy sprzedaży będzie to realizacja umowy sprzedaży, przy zapisie na newsletter będzie to wysyłka newslettera.
2. Podstawa prawna przetwarzania – również w odniesieniu do konkretnego przetwarzania, będzie to np. w przypadku sprzedaży – umowa sprzedaży, w przypadku wysyłki newslettera – umowa o świadczenie usługi wysyłki newslettera, w przypadku założenia konta w sklepie – umowa o świadczenie usługi prowadzenia konta w sklepie. Warto również nadmienić, że w przypadku podania jako podstawy prawnej uzasadnionego interesu administratora, powinien on wskazać, na czym ten interes polega.
3. Informacja o prawie do cofnięcia zgody na przetwarzanie danych osobowych – ten element umieszczamy, gdy podstawą prawną przetwarzania jest zgoda osoby, której dane dotyczą.
4. Informacja o odbiorcach danych osobowych lub kategoriach odbiorców – jeśli dane osoby, której dane dotyczą, są przekazywane do innych podmiotów, należy wskazać odbiorców lub kategorie tych odbiorców. Przykładowo – w przypadku dokonania zakupu w sklepie internetowym odbiorcą może być firma księgowa, a w przypadku newslettera – podmiot świadczący usługi wysyłki tego typu wiadomości.
5. Informacja o zamiarze przekazania danych osobowych do państwa trzeciego (poza Europejskim Obszarem Gospodarczym) lub do organizacji międzynarodowej – w przypadku takiego rodzaju przekazywania danych. Tego typu sytuacja może mieć miejsce w przypadku posiadania w gronie odbiorcy danych np. hostingodawcy, który przechowuje swoje serwery poza EOG. W przypadku przekazywania danych poza EOG należy również wskazać podstawę takiego transferu.
6. Okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu – w tym przypadku również należy rozdzielić te informacje względem celu przetwarzania danych.
7. Informacja, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy, a także czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych – informacja ta będzie uzależniona od celu przetwarzania danych. Przykładowo – przy umowie sprzedaży należy poinformować, że podanie danych jest dobrowolne, ale skutkiem niedostarczenia tych informacji jest brak możliwości zawarcia umowy.
8. Informacje o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu oraz – przynajmniej w tych przypadkach – istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą – oczywiście w przypadku stosowania tego rodzaju operacji na danych osobowych klientów w sklepach internetowych. Jednym z najczęstszych przypadków profilowania jest automatyczna analiza zachowania użytkowników, która ma na celu wyświetlanie im dostosowanych reklam. W takim wypadku należy wskazać, na jakich zasadach dokonywane jest profilowanie i jakie skutki ma dla użytkownika.

Czym polityka prywatności różni się od polityki ochrony danych?

Polityka ochrony danych, w odróżnieniu od polityki prywatności, jest dokumentem wewnętrznym, opisującym standardy i procedury podmiotu dotyczące ochrony danych osobowych. Polityki ochrony danych nigdy nie udostępniaj na stronie www!

Skąd wziąć politykę prywatności dla sklepu internetowego?

Prawo nie reguluje miejsca pozyskania polityki prywatności strony. Skąd jako właściciel sklepu internetowego możesz ją wziąć?

1. Pobranie darmowego wzoru polityki prywatności z sieci i samodzielne opracowanie dokumentu.(zazwyczaj ryzykowne).
2. Zlecenie napisania polityki prywatności od podstaw wyspecjalizowanemu podmiotowi (zazwyczaj kosztowne).
3. Wykorzystanie Kreatora Legal Geek (optymalne dla zdecydowanej większości sklepów internetowych).

Kreator Legal Geek to specjalistyczne narzędzie, które zada Ci istotne z punktu widzenia prowadzenia sklepu internetowego pytania. Na podstawie udzielonych przez Ciebie odpowiedzi zostanie wygenerowana gotowa polityka prywatności dla Twojego sklepu. Dzięki temu błyskawicznie uzyskasz profesjonalny dokument w bardzo przystępnej cenie.

Postaw na profesjonalną politykę prywatności dla e-sklepu. Skorzystaj z oferty specjalnej Sky-Shop Regulaminy!